Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Allgemeines, Anlagentechnik, Individualrecht

Zur aktuellen Fassung

(letzte Änderung 30.11.2007 S. 193)

Abschnitt 1
Allgemeiner Datenschutz

Unterabschnitt 1
Allgemeine Bestimmungen

§ 1 Aufgabe

Aufgabe dieses Gesetzes ist es, den einzelnen davor zu schützen, dass er durch die Verarbeitung personenbezogener Daten durch öffentliche Stellen in unzulässiger Weise in seinem Grundrecht beeinträchtigt wird, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen (informationelles Selbstbestimmungsrecht).

§ 2 Anwendungsbereich

(1) Dieses Gesetz gilt für die Behörden, Einrichtungen und sonstigen öffentlichen Stellen des Landes, die Gemeinden und Gemeindeverbände sowie für die sonstigen der Aufsicht des Landes oder der Gemeinden oder Gemeindeverbände unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen (öffentliche Stellen), soweit diese personenbezogene Daten verarbeiten. Für die Gerichte sowie für die Behörden der Staatsanwaltschaft gilt dieses Gesetz, soweit sie Verwaltungsaufgaben wahrnehmen; darüber hinaus gelten für die Behörden der Staatsanwaltschaft, soweit sie keine Verwaltungsaufgaben wahrnehmen nur die Vorschriften des Abschnittes 2 dieses Gesetzes. Nimmt eine nichtöffentliche Stelle hoheitliche Aufgaben einer öffentlichen Stelle des Landes wahr, ist sie insoweit öffentliche Stelle im Sinne des Gesetzes.

(1a) Der Landtag, seine Gremien, seine Mitglieder, die Fraktionen sowie deren Verwaltungen und deren Beschäftigte unterliegen mit Ausnahme des § 31 nicht den Bestimmungen dieses Gesetzes, soweit sie zur Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeiten. Der Landtag erlässt insoweit unter Berücksichtigung seiner verfassungsrechtlichen Stellung und der Grundsätze dieses Gesetzes eine Datenschutzordnung.

(2) Von den Vorschriften dieses Gesetzes gelten die §§ 7a, 8, 10a, 21, 23 und 25 bis 30 dieses Gesetzes, soweit

1. wirtschaftliche Unternehmen der Gemeinden oder Gemeindeverbände ohne eigene Rechtspersönlichkeit (Eigenbetriebe),
2. öffentliche Einrichtungen, die entsprechend den Vorschriften über die Eigenbetriebe geführt werden,
3. Landesbetriebe,
4. der Aufsicht des Landes oder der Gemeinden oder Gemeindeverbänden unterstehende juristische Personen des öffentlichen Rechts, die am Wettbewerb teilnehmen,

personenbezogene Daten zu wirtschaftlichen Zwecken oder Zielen verarbeiten. Im Übrigen sind mit Ausnahme der §§ 4d bis 4g und des § 38 die für nichtöffentliche Stellen geltenden Vorschriften des Bundesdatenschutzgesetzes einschließlich der Straf- und Bußgeldvorschriften anzuwenden.

(3) Die Vorschriften dieses Gesetzes gehen denen eines brandenburgischen Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden. Im Übrigen gehen besondere Rechtsvorschriften, die auf die Verarbeitung personenbezogener Daten anzuwenden sind, den Vorschriften dieses Gesetzes vor.

§ 3 Begriffsbestimmungen ¹⁰

(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

(2) Datenverarbeitung ist das Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen sowie Nutzen personenbezogener Daten. Im Einzelnen ist

1. Erheben (Erhebung) das Beschaffen von Daten über den Betroffenen,
2. Speichern (Speicherung) das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung,
3. Verändern (Veränderung) das inhaltliche Umgestalten gespeicherter Daten,
4. Übermitteln (Übermittlung) das Bekanntgeben von Daten an Dritte in der Weise, dass die Daten an den Dritten weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft,
5. Sperren (Sperrung) das Verhindern weiterer Verarbeitung gespeicherter Daten,
6. Löschen (Löschung) das Unkenntlichmachen gespeicherter Daten,
7. Nutzen (Nutzung) jede sonstige Verwendung personenbezogener Daten,

ungeachtet der dabei verwendeten Verfahren.

(3) Im Sinne dieses Gesetzes ist

1. Anonymisieren das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können und
2. Pseudonymisieren das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen, um die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren,
3. Verschlüsseln das Ersetzen von Klartextbegriffen oder Zeichen durch andere in der Weise, dass der Klartext nur mit unverhältnismäßig großem Aufwand wieder lesbar gemacht werden kann,
4. ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ein Datenträger,
   1. der zur Verfügung durch den Betroffenen bestimmt ist,
   2. auf dem über die erstmalige Speicherung hinaus Daten automatisiert verarbeitet oder durch den Daten automatisiert verarbeitet werden können und
   3. bei dem die Verarbeitung nach Buchstabe b durch andere als den Betroffenen erfolgt und der Betroffene dies nur durch den Gebrauch des Mediums beeinflussen kann.
5. Wartung die Summe der Maßnahmen zur Sicherstellung der Verfügbarkeit und Integrität der Hard- und Software von Datenverarbeitungsanlagen; dazu gehören die Installation, Pflege, Überprüfung und Korrektur der Software sowie Überprüfung und Reparatur oder Austausch von Hardware und
6. Fernwartung die Wartung der Soft- und Hardware von Datenverarbeitungsanlagen, die von einem Ort außerhalb der Stelle, bei der die Verarbeitung personenbezogener Daten erfolgt, mittels Einrichtungen zur Datenübertragung vorgenommen wird.

(4) Im Sinne dieses Gesetzes ist

1. Daten verarbeitende Stelle jede öffentliche Stelle, die Daten für sich selbst verarbeitet oder durch andere verarbeiten lässt,
2. Empfänger jede Person oder Stelle, die Daten erhält, und
3. Dritter jede Stelle mit Ausnahme
   1. der Daten verarbeitenden Stelle selbst,
   2. des Betroffenen,
   3. des Auftragnehmers in den Fällen der §§ 11 und 11a,
   4. der Personen, die unter der unmittelbaren Verantwortung der Daten verarbeitenden Stelle oder des Auftragnehmers nach Buchstabe c befugt sind, Daten zu verarbeiten.

(5) Automatisiert ist eine Datenverarbeitung, wenn sie durch Einsatz eines gesteuerten technischen Verfahrens selbsttätig ablaufen kann.

(6) Eine Datei ist eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren ausgewertet werden kann (automatisierte Datei), oder eine gleichartig aufgebaute Sammlung personenbezogener Daten, die nach bestimmten Merkmalen geordnet und ausgewertet werden kann (nichtautomatisierte Datei).

(7) Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage; dazu zählen auch Bild- und Tonträger, soweit sie nicht Dateien im Sinne von Absatz 6 sind; nicht hierunter fallen Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen und alsbald vernichtet werden.

§ 4 Zulässigkeit der Datenverarbeitung

(1) Personenbezogene Daten dürfen nur verarbeitet werden,

1. mit freiwilliger und ausdrücklicher Zustimmung (Einwilligung) des Betroffenen oder
2. soweit dies nach diesem Gesetz oder nach anderen Rechtsvorschriften zulässig ist.

(2) Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist der Betroffene auf die Einwilligungserklärung schriftlich besonders hinzuweisen. Der Betroffene ist in geeigneter Weise über die Bedeutung der Einwilligung, insbesondere über den Verwendungszweck der Daten, bei einer beabsichtigten Übermittlung über die Empfänger der Daten sowie den Zweck der Übermittlung aufzuklären; er ist unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass er die Einwilligung verweigern und mit Wirkung für die Zukunft widerrufen kann.

(3) Die Einwilligung kann auch elektronisch erklärt werden, wenn sichergestellt ist, dass

1. sie nur durch eine eindeutige und bewusste Handlung des Betroffenen erfolgen kann,
2. sie nicht unerkennbar verändert werden kann,
3. der Urheber erkannt werden kann,
4. die Einwilligung protokolliert wird und
5. die betroffene Person den Inhalt der Einwilligung jederzeit ohne unverhältnismäßigen Aufwand zur Kenntnis nehmen kann.

(4) Unzulässig ist eine zu rechtlichen Folgen oder erheblichen Beeinträchtigungen für den Betroffenen führende Entscheidung, wenn sie auf einer Bewertung einzelner Merkmale seiner Person beruht, die ausschließlich durch eine automatisierte Verarbeitung seiner Daten erstellt wurde. Eine Entscheidung nach Satz 1 kann durch Gesetz zugelassen werden, wenn es die Wahrung der berechtigten Interessen des Betroffenen sicherstellt.

(5) Sind personenbezogene Daten in Akten derart verbunden, dass ihre Trennung nach erforderlichen und nicht erforderlichen Daten auch durch Vervielfältigung und Unkenntlichmachung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, so sind auch die Kenntnisnahme, die Weitergabe innerhalb der Daten verarbeitenden Stelle und die Übermittlung der Daten, die nicht zur Erfüllung der jeweiligen Aufgabe erforderlich sind, zulässig, soweit nicht schutzwürdige Belange des Betroffenen oder eines Dritten überwiegen. Die nicht erforderlichen Daten unterliegen insoweit einem Verwertungsverbot.

§ 4a Verarbeitung besonderer Kategorien personenbezogener Daten

Soweit nicht andere Rechtsvorschriften die Verarbeitung personenbezogener Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben ausdrücklich vorsehen oder zwingend voraussetzen, ist diese nur zulässig,

1. mit Einwilligung des Betroffenen,
2. auf der Grundlage der §§ 15, 28, 29, 31, 33a, 33b und 33c oder
3. wenn sie zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist und der Betroffene aus rechtlichen oder tatsächlichen Gründen nicht in der Lage ist, seine Einwilligung zu geben.

Die Verarbeitung dieser Daten ist auch zulässig, wenn die Daten von dem Betroffenen offenkundig öffentlich gemacht wurden.

§ 4b Widerspruchsrecht des Betroffenen aus besonderem Grund

Wenn der Betroffene schriftlich begründet, dass der rechtmäßigen Verarbeitung seiner Daten ein schutzwürdiges besonderes persönliches Interesse entgegensteht, ist die Verarbeitung der Daten nur zulässig, wenn im Einzelfall das öffentliche Interesse an der Datenverarbeitung gegenüber dem persönlichen Interesse des Betroffenen überwiegt. Dem Betroffenen ist das Ergebnis mit Begründung schriftlich mitzuteilen.

§ 5 Rechte des Betroffenen ¹⁰

(1) Jeder hat nach Maßgabe dieses Gesetzes ein Recht auf

1. Auskunft über die zu seiner Person gespeicherten Daten sowie Einsicht in Akten (§ 18),
2. Gegenvorstellung aufgrund eines schutzwürdigen besonderen persönlichen Interesses (§ 4b),
3. Einsicht in das Verfahrensverzeichnis (§ 8 Abs. 4),
4. Berichtigung, Löschung oder Sperrung der zu seiner Person gespeicherten Daten (§ 19) und
5. Anrufung des Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht (§ 21 Abs. 1).

Auf diese Rechte kann der Betroffene nicht wirksam verzichten.

(2) Werden die Daten des Betroffenen in einem automatisierten Verfahren gespeichert, bei dem mehrere Stellen speicherberechtigt sind, kann er sich an jede dieser Stellen wenden. Diese ist verpflichtet, das Vorbringen des Betroffenen an die Daten verarbeitende Stelle weiterzuleiten. Der Betroffene ist über die Weiterleitung und die Daten verarbeitende Stelle zu unterrichten. Die in § 19 Abs. 3 des Bundesdatenschutzgesetzes genannten Stellen, die Behörden der Staatsanwaltschaft und der Polizei sowie öffentliche Stellen der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern, können statt des Betroffenen den Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht über die Weiterleitung und die Daten verarbeitende Stelle unterrichten. In diesem Fall richtet sich das weitere Vorgehen nach § 18 Absatz 6.

§ 6 Datengeheimnis

Denjenigen Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, solche Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder zu offenbaren. Diese Personen sind verpflichtet, das Datengeheimnis auch nach Beendigung ihrer Tätigkeit zu wahren.

§ 7 Sicherstellung des Datenschutzes ¹⁰

(1) Die obersten Landesbehörden, die Gemeinden und Gemeindeverbände sowie die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen haben jeweils für ihren Bereich die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz sicherzustellen. Sie haben Verfahren zur Verarbeitung und Nutzung personenbezogener Daten an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten oder zu nutzen. Die Datenverarbeitung soll so organisiert sein, dass bei der Verarbeitung, insbesondere der Übermittlung, der Kenntnisnahme im Rahmen der Aufgabenerfüllung und der Einsichtnahme, die Trennung der Daten nach den jeweils verfolgten Zwecken und nach unterschiedlichen Betroffenen möglich ist.

(2) Vor dem Erlass von Rechts- und Verwaltungsvorschriften, die die Verarbeitung personenbezogener Daten betreffen, ist der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht zu hören. Er ist über Planungen des Landes zum Aufbau oder zur wesentlichen Änderung automatisierter Informationssysteme rechtzeitig zu unterrichten, sofern in den Systemen personenbezogene Daten verarbeitet werden.

(3) Der erstmalige Einsatz oder die wesentliche Änderung von automatisierten Verfahren, für die ein Verfahrensverzeichnis nach § 8 zu erstellen ist, bedarf der schriftlichen Freigabe. Diese darf nur erteilt werden, wenn

1. ein aus einer Risikoanalyse entwickeltes Sicherheitskonzept ergeben hat, dass die von dem Verfahren ausgehenden Gefahren für die Rechte und Freiheiten der Betroffenen durch technischorganisatorische Maßnahmen nach § 10 Abs. 1 und 2 beherrscht werden können und
2. in den Verfahren, in denen besondere Risiken für die Rechte und Freiheiten der Betroffenen ausgehen, eine Vorabkontrolle nach § 10a erfolgt ist.

Entsprechend der technischen Entwicklung ist die Ermittlung der zu treffenden technischen und organisatorischen Maßnahmen in angemessenen Abständen zu wiederholen. Die Freigabe erfolgt durch die Daten verarbeitende Stelle. Bei gemeinsamen Verfahren erfolgt die Freigabe für das gesamte Verfahren oder Teile des Verfahrens durch die von den beteiligten Stellen gemäß § 9 Absatz 1a Satz 1 bestimmten Stellen. Sie kann auch durch die zuständige oberste Landesbehörde oder eine von ihr bestimmte Stelle erteilt werden.

§ 7a Behördlicher Datenschutzbeauftragter

(1) Daten verarbeitende Stellen haben einen behördlichen Datenschutzbeauftragten zu bestellen. Bestellt werden darf nur, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt und wer dadurch keinem Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt wird. Seine Bestellung kann gegen seinen Willen nur aus wichtigem Grund in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuches widerrufen werden.

(2) Die Daten verarbeitenden Stellen können einen Bediensteten einer anderen Daten verarbeitenden Stelle zum behördlichen Datenschutzbeauftragten bestellen.

(3) Der behördliche Datenschutzbeauftragte kann sich in dieser Funktion unmittelbar an die Leitung der Daten verarbeitenden Stelle wenden. Er ist in seiner Eigenschaft als behördlicher Datenschutzbeauftragter weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. In Zweifelsfällen kann sich der behördliche Datenschutzbeauftragte unmittelbar an den Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht wenden.

(4) Der behördliche Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.

(5) Der behördliche Datenschutzbeauftragte hat die Aufgabe, die Daten verarbeitende Stelle bei der Ausführung der Datenschutzvorschriften zu unterstützen. Zu seinen Aufgaben gehört es insbesondere,

1. auf die Einhaltung der Datenschutzvorschriften hinzuwirken,
2. die bei der Verarbeitung personenbezogener Daten tätigen Personen mit den Bestimmungen dieses Gesetzes und anderer für die Daten verarbeitende Stelle einschlägigen Rechtsvorschriften vertraut zu machen,
3. die Daten verarbeitende Stelle bei der Umsetzung der nach § 7 Abs. 3 und nach den §§ 8, 10, 11, 11a und 26 erforderlichen Maßnahmen zu unterstützen und
4. die Vorabkontrolle nach § 10a vorzunehmen.

Er kann die zur Erfüllung seiner Aufgaben notwendige Einsicht in personenbezogene Datenverarbeitungsvorgänge nehmen. Berufs- oder besondere Amtsgeheimnisse können ihm nicht entgegengehalten werden.

§ 8 Verfahrensverzeichnis

(1) Für automatisierte Verarbeitungen personenbezogener Daten hat die Daten verarbeitende Stelle in einem Verfahrensverzeichnis schriftlich oder elektronisch festzulegen:

1. die Bezeichnung des Verfahrens,
2. den Namen und die Anschrift der Daten verarbeitenden Stelle,
3. die Zweckbestimmung und Rechtsgrundlage der Datenverarbeitung,
4. die betroffenen Personengruppen und die diesbezüglichen Daten oder Datenkategorien,
5. die Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden,
6. die geplanten Datenübermittlungen nach § 17 Abs. 2,
7. im Falle von § 11 die Auftragnehmer,
8. die Regelfristen für die Sperrung und Löschung der Daten,
9. die Beschreibung der Maßnahmen nach § 10,
10. die allgemeine Beschreibung der Art der eingesetzten Datenverarbeitungsanlagen und der verwendeten Software und
11. die Freigabeerklärung, gegebenenfalls das Ergebnis der Vorabkontrolle.

In den Fällen des § 7 Abs. 3 Satz 5 können die Festlegungen nach Satz 1 durch die zuständige oberste Landesbehörde oder die von ihr bestimmte Stelle getroffen werden.

(2) Das Führen des Verfahrensverzeichnisses ist dem behördlichen Datenschutzbeauftragten zu übertragen.

(3) Das Verfahrensverzeichnis ist bei wesentlichen Änderungen zu aktualisieren.

(4) Die Angaben des Verfahrensverzeichnisses gemäß Absatz 1 können von jedermann unentgeltlich eingesehen werden. Dies gilt nicht für Angaben nach Absatz 1 Nr. 7 bis 11, soweit hierdurch die Sicherheit des Verfahrens beeinträchtigt würde. Satz 1 gilt nicht für

1. Verfahren der Verfassungsschutzbehörde,
2. Verfahren, die der Gefahrenabwehr oder der Strafverfolgung dienen, und
3. Verfahren der Steuerfahndung,

soweit die Daten verarbeitende Stelle eine Einsichtnahme im Einzelfall mit der Erfüllung ihrer Aufgaben für unvereinbar erklärt.

(5) Absatz 1 gilt nicht für

1. Verfahren, deren einziger Zweck das Führen eines Registers ist, das zur Information der Öffentlichkeit bestimmt ist oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht,
2. Verfahren, soweit mit ihnen Datensammlungen erstellt werden, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden,
3. Verfahren die unter Einsatz handelsüblicher Schreibprogramme ablaufen,
4. Verfahren, die ausschließlich der Datensicherung und Datenschutzkontrolle dienen,
5. Verfahren, die ausschließlich dem Auffinden von Vorgängen, Anträgen oder Akten dienen (Registraturverfahren),
6. Verfahren, die ausschließlich zur Überwachung von Terminen und Fristen dienen,
7. Zimmer-, Inventar- und Softwareverzeichnisse,
8. Bibliothekskataloge und Fundstellenverzeichnisse oder
9. Anschriftenverzeichnisse, die ausschließlich für die Versendung von Informationen an Betroffene genutzt werden.

(6) Die Landesregierung wird ermächtigt, durch Rechtsverordnung das Nähere zur Ausgestaltung des Verfahrensverzeichnisses zu regeln, insbesondere zum Zweck der Vereinfachung des Verfahrens und zur Entlastung der Daten verarbeitenden Stelle.

§ 9 Gemeinsame Verfahren, automatisierte Abrufverfahren und regelmäßige Datenübermittlungen ¹⁰

(1) Die Einrichtung eines automatisierten Verfahrens, das mehreren Daten verarbeitenden Stellen die Verarbeitung personenbezogener Daten in oder aus einem gemeinsamen Datenbestand (gemeinsame Verfahren) oder die Übermittlung personenbezogener Daten an Dritte durch Abruf (automatisierte Abrufverfahren) ermöglicht, ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. Die Vorschriften über die Zulässigkeit des einzelnen Abrufs bleiben unberührt. Der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht ist vorab zu unterrichten.

(1a) Vor der Einrichtung eines gemeinsamen Verfahrens bestimmen die beteiligten Stellen eine Stelle, der die Planung, Einrichtung und Durchführung des gemeinsamen Verfahrens obliegt, und legen schriftlich fest

1. die Bezeichnung und Aufgaben der beteiligten Stellen, einschließlich der Verantwortung für die Freigabe nach § 7 Absatz 3, sowie den Bereich der Verarbeitung, für deren Rechtmäßigkeit sie im Einzelfall verantwortlich sind, und
2. die für die Durchführung des gemeinsamen Verfahrens nach § 10 Absatz 2 zu treffenden technischen und organisatorischen Maßnahmen.

Die mit der Durchführung des gemeinsamen Verfahrens betraute Stelle verwahrt ein Doppel des von den beteiligten Stellen gemäß § 8 jeweils zu erstellenden Verfahrensverzeichnisses zusammen mit den Angaben nach Satz 1 Nummer 1. § 8 Absatz 4 gilt entsprechend.

(1b) Die Betroffenen können ihre Rechte nach § 5 Absatz 1 Nummer 1 bis 4 gegenüber jeder der an dem gemeinsamen Verfahren beteiligten Stellen geltend machen, unabhängig davon, welche Stelle im Einzelfall für die Verarbeitung der betroffenen Daten verantwortlich ist. Die Stelle, an die sich der Betroffene wendet, leitet das Anliegen an die jeweils zuständige Stelle weiter. Das Auskunftsrecht nach § 18 erstreckt sich auch auf die Angaben nach Absatz 1a Satz 1 Nummer 1.

(2) Die an einem automatisierten Abrufverfahren beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Hierzu haben sie schriftlich festzulegen:

1. den Anlass und Zweck des Abrufverfahrens,
2. die Empfänger der Daten,
3. die Art der zu übermittelnden Daten sowie
4. die nach § 10 erforderlichen technischen und organisatorischen Maßnahmen.

Die erforderlichen Festlegungen können auch durch die Fachaufsichtsbehörde getroffen werden.

(3) Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Empfänger der Daten. Die übermittelnde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. Die übermittelnde Stelle überprüft die Übermittlung personenbezogener Daten durch geeignete Stichprobenverfahren.

(4) Für die Einrichtung automatisierter Abrufverfahren innerhalb einer öffentlichen Stelle gelten Absatz 1 Satz 1 und 2 sowie die Absätze 2 und 3 entsprechend.

(5) Die Absätze 1 bis 3 gelten nicht für Datenbestände, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre.

(6) Die Absätze 1 und 2 bis 5 sind auf die Zulassung regelmäßiger Datenübermittlungen entsprechend anzuwenden.

§ 10 Technische und organisatorische Maßnahmen

(1) Die Daten verarbeitenden Stellen oder die in ihrem Auftrag tätigen Stellen haben die technischen und organisatorischen Maßnahmen zu treffen, die nach den Absätzen 2 und 3 erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten. Die Maßnahmen haben für den angestrebten Schutzzweck angemessen zu sein und richten sich nach den im Einzelfall zu betrachtenden Risiken und dem jeweiligen Stand der Technik.

(2) Werden personenbezogene Daten automatisiert verarbeitet, sind Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass

1. nur Befugte diese Daten zur Kenntnis nehmen können (Vertraulichkeit),
2. diese Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität),
3. diese Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können Verfügbarkeit),
4. diese Daten jederzeit ihrem Ursprung zugeordnet werden können (Authentizität),
5. festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit), und
6. die Verfahrensweisen bei der Verarbeitung dieser Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz).

(3) Werden personenbezogene Daten nichtautomatisiert oder in Akten verarbeitet, sind Maßnahmen zu treffen, um insbesondere den Zugriff Unbefugter bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung zu verhindern.

§ 10a Vorabkontrolle ¹⁰

(1) Die Verarbeitung personenbezogener Daten in automatisierten Verfahren, von denen besondere Risiken für die Rechte und Freiheiten der betroffenen Personen ausgehen, unterliegt der Prüfung (Vorabkontrolle) durch den behördlichen Datenschutzbeauftragten. Sie kann in den Fällen des § 7 Abs. 3 Satz 4 durch den behördlichen Datenschutzbeauftragten der zuständigen obersten Landesbehörde oder der von ihr bestimmten Stelle erfolgen.

(2) Eine Vorabkontrolle ist insbesondere durchzuführen, soweit

1. es sich um ein Verfahren nach § 9 Abs. 1 handelt oder mobile personenbezogene Speicher- und Verarbeitungsmedien eingesetzt werden oder
2. mit dem Verfahren personenbezogene Daten verarbeitet werden sollen, die zu einer in § 4a genannten Kategorien gehören oder einem Berufs- oder besonderen Amtsgeheimnis unterliegen.

(3) Dem behördlichen Datenschutzbeauftragten sind die zur Durchführung der Vorabkontrolle notwendigen Unterlagen, insbesondere die Ergebnisse der Risikoanalyse und das Sicherheitskonzept sowie die Angaben für das Verfahrensverzeichnis nach § 8 zuzuleiten. Er hat im Zweifelsfall den Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht zu konsultieren.

§ 11 Verarbeitung personenbezogener Daten im Auftrag

(1) Werden personenbezogene Daten im Auftrag einer Daten verarbeitenden Stelle (Auftraggeber) durch andere Personen oder Stellen (Auftragnehmer) verarbeitet, bleibt die auftraggebende Stelle für die Einhaltung der Bestimmungen dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Rechte der Betroffenen sind ihr gegenüber geltend zu machen. Soweit die Vorschriften dieses Gesetzes auf den Auftragnehmer keine Anwendung finden, hat der Auftraggeber vertraglich sicherzustellen, dass der Auftragnehmer die Vorschriften dieses Gesetzes befolgt und jederzeit von ihm veranlasste Kontrollen ermöglicht.

(2) Der Auftrag ist unter Festlegung des Gegenstandes und des Umfanges der Datenverarbeitung, der technischen und organisatorischen Maßnahmen und etwaiger Unterauftragsverhältnisse schriftlich zu erteilen. Der Auftragnehmer muss Gewähr für die Einhaltung der technischen und organisatorischen Maßnahmen nach § 10 bieten. Werden Daten im Auftrag verarbeitet, für die gesetzliche oder andere Geheimhaltungspflichten bestehen, sind besondere technische und organisatorische Maßnahmen zu treffen, die eine Wahrung der Geheimnisse sicherstellen. Der Auftrag kann auch durch die Fachaufsichtsbehörde mit Wirkung für die ihrer Aufsicht unterliegenden öffentlichen Stellen des Landes erteilt werden; diese sind hiervon zu unterrichten.

(3) Der Auftragnehmer darf die personenbezogenen Daten nur im Rahmen der Weisungen der auftraggebenden Stelle verarbeiten.

(4) Ist der Auftragnehmer eine in § 2 Abs. 1 Satz 1 oder 2 genannte Stelle, gelten für ihn neben Absatz 3 nur die §§ 6, 7a, 10 und 11a sowie 21, 23, 25, 26 und 38.

(5) Zur Durchführung von beratenden oder begutachtenden Tätigkeiten im Auftrag der Daten verarbeitenden Stelle ist die Übermittlung personenbezogener Daten zulässig, wenn die übermittelnde Stelle die beauftragten Personen verpflichtet,

1. die Daten nur zu dem Zweck zu verarbeiten, zu dem sie ihnen überlassen worden sind, und
2. nach Erledigung des Auftrags die ihnen überlassenen Datenträger zurückzugeben und die bei ihnen gespeicherten Daten zu löschen, soweit nicht besondere Rechtsvorschriften entgegenstehen.

Die Absätze 1 bis 3 gelten entsprechend.

§ 11a Wartung ¹⁰

(1) Datenverarbeitungssysteme sind so zu gestalten, dass bei ihrer Wartung möglichst nicht auf personenbezogene Daten zugegriffen werden kann. Sofern dies nicht sichergestellt ist, hat die Daten verarbeitende Stelle durch technische und organisatorische Maßnahmen sicherzustellen, dass nur auf die für die Wartung unbedingt erforderlichen personenbezogenen Daten zugegriffen werden kann.

(2) Eine Wartung durch andere Stellen darf über die Anforderungen nach Absatz 1 hinaus nur aufgrund schriftlicher Vereinbarungen erfolgen. Es gilt § 11 Absatz 2 Satz 1 und 2 entsprechend. Die mit Wartungsarbeiten betrauten Personen sind zur Wahrung des Datengeheimnisses zu verpflichten.

(3) Ist bei Wartungsarbeiten nur ein Zugriff auf Daten in verschlüsselter, pseudonymisierter oder anonymisierter Form gegeben, so dass die mit der Wartung betraute Stelle Betroffene nicht reidentifizieren kann, sind nur Maßnahmen nach Absatz 2 Satz 1 und 3 erforderlich.

§ 11b (aufgehoben)

§ 11c Datenschutzaudit

Die öffentlichen Stellen können zur Verbesserung von Datenschutz und Datensicherheit sowie zum Erreichen größtmöglicher Datensparsamkeit ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene

Gutachter prüfen und bewerten sowie das Ergebnis der Prüfung veröffentlichen lassen. Sie können auch bereits geprüfte und bewertete Datenschutzkonzepte und -programme zum Einsatz bringen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt.

Unterabschnitt 2
Rechtsgrundlagen der Datenverarbeitung

§ 12 Erhebung

(1) Das Erheben personenbezogener Daten ist nur zulässig, wenn ihre Kenntnis zur rechtmäßigen Erfüllung der durch Gesetz der erhebenden Stelle zugewiesenen Aufgabe und für den jeweils damit verbundenen Zweck erforderlich ist.

(2) Personenbezogene Daten sind grundsätzlich bei dem Betroffenen mit seiner Kenntnis zu erheben. In diesem Falle ist er über den Verwendungszweck aufzuklären. Die Aufklärungspflicht umfasst bei beabsichtigten Übermittlungen auch den Empfänger der Daten. Werden die Daten aufgrund einer Rechtsvorschrift erhoben, so ist der Betroffene in geeigneter Weise über diese aufzuklären. Soweit eine Auskunftspflicht besteht oder die Angaben die Voraussetzung für die Gewährung von Rechtsvorteilen sind, ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben, hinzuweisen.

(3) Personenbezogene Daten dürfen ohne Kenntnis des Betroffenen bei anderen Stellen oder Personen unter den Voraussetzungen des § 13 Abs. 2 Satz 1 Buchstabe a und c bis f erhoben werden. Beim Betroffenen dürfen Daten ohne seine Kenntnis nur erhoben werden, wenn eine Rechtsvorschrift dies vorsieht oder, soweit es sich um eine Rechtsvorschrift des Bundes handelt, zwingend voraussetzt oder der Schutz von Leben oder Gesundheit oder die Abwehr einer erheblichen Gefährdung der natürlichen Lebensgrundlagen dies erforderlich macht.

(4) Werden Daten bei einer dritten Person oder einer nichtöffentlichen Stelle erhoben, so ist diese auf Verlangen über den Verwendungszweck aufzuklären. Soweit eine Auskunftspflicht besteht, ist sie hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.

(5) Werden Daten ohne Kenntnis des Betroffenen erhoben, ist er davon zu benachrichtigen, sobald die rechtmäßige Erfüllung der Aufgabe dadurch nicht mehr gefährdet wird. Absatz 2 Satz 1 und 2 gilt entsprechend. Werden die Daten nicht beim Betroffenen erhoben, kann von einer Benachrichtigung abgesehen werden, wenn

1. durch Gesetz ausdrücklich bestimmt ist, dass die Daten bei anderen Stellen oder Personen erhoben werden,
2. der Betroffene auf andere Weise Kenntnis von der Verarbeitung erlangt hat oder
3. sie unmöglich ist oder einen unverhältnismäßigen Aufwand erfordern würde.

§ 13 Zweckbindung bei Speicherung, Veränderung und Nutzung

(1) Das Speichern, Verändern und Nutzen personenbezogener Daten ist zulässig, wenn es zur rechtmäßigen Erfüllung der Aufgaben der öffentlichen Stelle erforderlich ist. Die Daten dürfen nur für Zwecke gespeichert, verändert oder genutzt werden, für die sie erhoben worden sind. Daten, von denen die Stelle ohne Erhebung Kenntnis erlangt hat, dürfen nur für Zwecke genutzt und verändert werden, für die sie erstmals gespeichert worden sind.

(2) Sollen personenbezogene Daten zu Zwecken gespeichert, verändert oder genutzt werden, für die sie nicht erhoben oder erstmals gespeichert worden sind, ist dies nur zulässig, wenn

1. eine Rechtsvorschrift dies erlaubt oder die Wahrnehmung einer durch Gesetz oder Rechtsverordnung zugewiesenen einzelnen Aufgabe die Verarbeitung dieser Daten zwingend voraussetzt,
2. der Betroffene eingewilligt hat,
3. die Bearbeitung eines vom Betroffenen gestellten Antrages ohne diese Zweckänderung der Daten nicht möglich ist oder es erforderlich ist, Angaben des Betroffenen zu überprüfen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
4. es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonst unmittelbar drohenden Gefahr für die öffentliche Sicherheit oder zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist,
5. die Einholung der Einwilligung des Betroffenen nicht möglich ist oder mit unverhältnismäßig hohem Aufwand verbunden wäre, aber offensichtlich ist, dass es in seinem Interesse liegt und er in Kenntnis des anderen Zweckes seine Einwilligung erteilen würde,
6. sie aus allgemein zugänglichen Quellen entnommen werden können oder die Daten verarbeitende Stelle sie veröffentlichen dürfte, es sei denn, dass das Interesse des Betroffenen an dem Ausschluss der Speicherung oder einer Veröffentlichung der gespeicherten Daten offensichtlich überwiegt, oder
7. sich bei Gelegenheit der rechtmäßigen Aufgabenerfüllung Anhaltspunkte für Straftaten oder Ordnungswidrigkeiten ergeben und die Unterrichtung der für die Verfolgung oder Vollstreckung zuständigen Behörden geboten erscheint.

Unterliegen die personenbezogenen Daten einem Berufs- oder besonderen Amtsgeheimnis und sind sie der Daten verarbeitenden Stelle von der zur Verschwiegenheit verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht übermittelt worden, findet Satz 1 Buchstabe c bis g keine Anwendung.

(3) Eine Verarbeitung zu anderen Zwecken liegt nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen dient. Der Zugriff auf personenbezogene Daten ist insoweit nur zulässig, als er für die Ausübung dieser Befugnisse unverzichtbar ist. Zu Aus- und Fortbildungszwecken dürfen personenbezogene Daten nur verwendet werden, wenn dies unerlässlich ist und schutzwürdige Belange des Betroffenen dem nicht entgegenstehen; zu Test- und Prüfungszwecken dürfen personenbezogene Daten nicht verwendet werden.

§ 14 Übermittlung innerhalb des öffentlichen Bereiches

(1) Die Übermittlung personenbezogener Daten an öffentliche Stellen ist zulässig, wenn sie zur rechtmäßigen Erfüllung der Aufgaben der übermittelnden Stelle oder des Empfängers erforderlich ist und die Voraussetzungen des § 13 Abs. 1 Satz 2 oder 3 oder des Absatzes 2 Satz 1 vorliegen, sowie zur Wahrnehmung von Aufgaben nach § 13 Abs. 3. Die Übermittlung ist ferner zulässig, soweit es zur Entscheidung in einem Verwaltungsverfahren der Beteiligung mehrerer öffentlicher Stellen bedarf.

(2) (gestrichen)

(3) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Erfolgt die Übermittlung aufgrund eines Ersuchens des Empfängers, hat die übermittelnde Stelle lediglich zu prüfen, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers liegt. Die Rechtmäßigkeit des Ersuchens prüft sie nur, wenn im Einzelfall hierzu Anlass besteht; der Empfänger hat der übermittelnden Stelle die für diese Prüfung erforderlichen Angaben zu machen. Erfolgt die Übermittlung durch automatisierten Abruf (§ 9), so trägt die Verantwortung für die Rechtmäßigkeit des Abrufes der Empfänger.

(4) Der Empfänger darf die übermittelten Daten nur für die Zwecke verarbeiten, zu deren Erfüllung sie ihm übermittelt worden sind; § 13 Abs. 2 findet entsprechende Anwendung.

(5) Die Absätze 1 bis 4 gelten entsprechend, wenn personenbezogene Daten innerhalb einer öffentlichen Stelle weitergegeben werden.

weiter .